本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 基础设施安全 AWS 账单与成本管理
<a name="infrastructure-security"></a>

作为一项托管服务 AWS 账单与成本管理 ，受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息，请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境，请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。

您可以使用 AWS 已发布的 API 调用通过网络访问 Billing and Cost Management。客户端必须支持以下内容：
+ 传输层安全性协议（TLS）。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 具有完全向前保密（PFS）的密码套件，例如 DHE（临时 Diffie-Hellman）或 ECDHE（临时椭圆曲线 Diffie-Hellman）。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。

# AWS 账单与成本管理 使用接口端点进行访问 (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

您可以使用 AWS PrivateLink 在您的 VPC 和之间创建私有连接 AWS 账单与成本管理。您可以像在 VPC 中一样访问账单和成本管理，无需使用互联网网关、NAT 设备、VPN 连接或 Direct Connect 连接。VPC 中的实例不需要公有 IP 地址即可访问账单与成本管理。

您可以通过创建由 AWS PrivateLink提供支持的*接口端点*来建立此私有连接。我们将在您为接口端点启用的每个子网中创建一个端点网络接口。这些是请求者托管的网络接口，用作发往账单与成本管理的流量的入口点。

有关更多信息，请参阅*AWS PrivateLink 指南 AWS PrivateLink*中的[AWS 服务 通过访问](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html)。

有关服务名称的完整列表，请参阅[与集成的AWS 服务 AWS PrivateLink](https://docs.aws.amazon.com/vpc/latest/privatelink/aws-services-privatelink-support.html)。

## 账单与成本管理注意事项
<a name="vpc-endpoint-considerations"></a>

在为账单与成本管理设置接口端点之前，请首先查看《AWS PrivateLink 指南》**中的[注意事项](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#considerations-interface-endpoints)。

账单与成本管理支持通过接口端点调用其所有 API 操作。

账单与成本管理不支持 VPC 端点策略。默认情况下，允许通过接口端点对账单与成本管理进行完全访问。或者，您可以将安全组与端点网络接口关联，以控制通过接口端点流向账单与成本管理的流量。

## 为账单与成本管理创建接口端点
<a name="vpc-endpoint-create"></a>

您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 为 Billing and Billing Cost Management 创建接口终端节点。有关更多信息，请参阅《AWS PrivateLink 指南》**中的[创建接口端点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。

使用以下服务名称为账单与成本管理创建接口端点：

```
com.amazonaws.region.service-name
```

如果为接口端点启用私有 DNS，则可使用其默认区域 DNS 名称向账单与成本管理发出 API 请求。例如 `service-name.us-east-1.amazonaws.com`。

## 为 VPC 端点创建端点策略
<a name="vpc-endpoint-policy"></a>

端点策略是一种 IAM 资源，您可以将其附加到接口端点。默认端点策略允许通过接口端点完全访问账单与成本管理。要控制允许从 VPC 访问账单与成本管理的权限，请将自定义端点策略附加到接口端点。

端点策略指定以下信息：
+ 可执行操作的主体（AWS 账户、IAM 用户和 IAM 角色）。
+ 可执行的操作。
+ 可对其执行操作的资源。

有关更多信息，请参阅《AWS PrivateLink 指南》**中的[使用端点策略控制对服务的访问权限](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。

**示例： AWS 价目表 API 的 VPC 终端节点策略**  
以下是自定义端点策略的示例。当您将此策略附加到您的接口终端节点时，所有有权访问该终端节点的用户都可以访问 AWS 价目表 API。

```
{
    "Statement": [
        {
            "Action": "pricing:*",
            "Effect": "Allow",
            "Principal": "*",
            "Resource": "*"
        }
    ]
}
```

要通过使用价目表 API 的批量文件下载 AWS PrivateLink，您还必须通过启用 Amazon S3 访问权限 AWS PrivateLink。有关更多信息，请参阅《Amazon S3 用户指南》**中的[适用于 Amazon S3 的AWS PrivateLink](https://docs.aws.amazon.com/AmazonS3/latest/userguide/privatelink-interface-endpoints.html)。